Active Directory ist ein zentraler Verzeichnisdienst für die Verwaltung von Computern und Benutzerkonten in einer Domäne sowie für die Konfiguration von Geräten mithilfe von Gruppenrichtlinien. Mit Ausnahme der Domänen-Controller (DCs) verfügen alle Geräte, die mit einer Domäne verbunden sind, über lokale Benutzerkonten.
Wenn in einer Domänenumgebung für lokale Administratorkonten auf allen PCs und Servern dasselbe Kennwort verwendet wird oder Kennwörter nicht regelmäßig geändert werden, können Geräte Pass-the-Hash-Angriffen zum Opfer fallen. Durch gemeinsame Nutzung von Kennwörtern ist es für das IT-Team einfacher, zu Supportzwecken auf Geräte zuzugreifen. Doch sobald ein Hacker dieses Kennwort ausgespäht hat, kann er sich lateral im Netzwerk ausbreiten und sich Zugriff auf sensible Anmeldeinformationen etwa für das Domänen-Administratorkonto verschaffen.
Manche Unternehmen mindern das Risiko im Zusammenhang mit Kennwörtern für lokale Administratorkonten, indem sie jedem Gerät ein anderes Kennwort zuweisen und diese Anmeldedaten in einer Excel-Tabelle oder einer Datenbank speichern. Aber auch diese Lösung hat ihre Schattenseiten: Die Datei, in der die Kennwörter gespeichert werden, muss angemessen geschützt werden und die zugewiesenen Kennwörter werden niemals geändert.
Local Administrator Password Solution
Microsoft stellt mit der Local Administrator Password Solution (LAPS) ein kostenloses Tool für Windows zur Verfügung. LAPS installiert eine clientseitige Gruppenrichtlinienerweiterung auf verwalteten Geräten, mit der die Kennwörter für lokale Administratorkonten sicher in Active Directory gespeichert und automatisch alle 30 Tage (oder nach einem individuell festgelegten Intervall) geändert werden. IT-Mitarbeiter können die Kennwörter dann bei Bedarf aus Active Directory abrufen.
Durch die Installation von LAPS lässt sich die Überwachung von Mitgliedsservern und PCs vereinfachen, indem Kennwörter für lokale Administratorkonten zentral gespeichert werden. Auf diese Weise können Unternehmen Kennwortänderungen im gesamten Netzwerk einfacher verwalten. Sie können das Tool hier herunterladen und unter Windows Vista und Windows Server 2003 (oder spätere Versionen) ausführen. Sie benötigen dafür außerdem .NET Framework 4.0 und PowerShell 2.0 oder spätere Versionen.
Wie funktioniert LAPS?
Für den Einsatz von LAPS muss das Active Directory-Schema (Windows 2003 SP1 oder höher) zur Unterstützung von zwei neuen Attributen erweitert werden: ms-MCS-AdmPwd und ms-MCS-AdmPwdExpirationTime. Sie dienen dazu, das Kennwort für das lokale Administratorkonto zu speichern und festzulegen, wie häufig es für Computerobjekte des konfigurierten Gruppenrichtlinienobjekts geändert werden soll. Anzumerken ist, dass LAPS die Verwaltung von Kennwörtern für das integrierte Administratorkonto, umbenannte integrierte Administratorkonten und andere von der IT erstellte Administratorkonten unterstützt.
LAPS beinhaltet ein eigenes PowerShell-Modul mit Cmdlets zum Aktualisieren des Active Directory-Schemas, Festlegen von Berechtigungen für die neuen Attribute und Auslesen des gespeicherten Kennworts in Active Directory. Ebenfalls enthalten ist ein Tool mit grafischer Benutzeroberfläche, mit dem in Active Directory gespeicherte Kennwörter ausgelesen werden können. Alle anderen LAPS-Funktionen müssen mit PowerShell ausgeführt werden.
LAPS fügt vier Gruppenrichtlinieneinstellungen unter Computereinstellungen -> Richtlinien -> Administrative Vorlagen hinzu, auf die Sie über den Verwaltungscomputer zugreifen können, auf dem das Tool installiert ist. Sie können damit die Länge und Komplexität von Kennwörtern und den Namen des zu verwaltenden Administratorkontos festlegen, wenn das integrierte Administratorkonto deaktiviert wurde.